Am 9.3.2016 hat das Landgericht Düsseldorf ein Urteil gefällt, was die automatische Datengabe an US-Firmen, in diesem Fall Facebook, bei Besuch einer Website untersagt. Dies ist insbesondere (aber nicht nur) bei der Facebook-Like-Box und bei Sharing-Buttons der Fall und setzt zahlreiche Seiten einem Abmahn-Risiko aus. Aus juristischer Sicht wird dies von allfacebook.de sehr gut beschrieben. Ich wage hier eine Perspektive vom Seitenbetreiber aus.
Eine wichtige Einschränkung ist, dass dies v.a. für werbende Zwecke juristisch kritisch zu sein scheint, wobei die Definition von werbend wohl recht weitreichend ist. Ich bin Techie, kein Anwalt, so dass die nachfolgenden Aussagen auch nicht als juristische Aussage zu verstehen sind. Denn: egal, ob man nun direkter oder indirekter von Abmahnungen betroffen ist, man sollte sich mit dem Thema beschäftigen – aufgrund des Abmahnrisikos, aufgrund der offenen Fragestellung von Safe Harbor, und nicht zuletzt aufgrund des Datenschutzes für die eigenen Besucher / Kunden.
Worum geht es in dem Urteil?
Es geht darum, dass man mit der Integration der Facebook-Like-Box Facebook die Möglichkeit gibt, den Nutzer der Website zu identifizieren und zu speichern – und dies für werbende Zwecke genutzt wird. Dies ist eine Datenweitergabe an eine US-Firma, die nach dem Safe-Harbour-Urteil des europäischen Gerichtshofes sehr kritisch zu sehen ist.
Anders formuliert: der Website-Betreiber gibt mit der Integration der Facebook Like-Box Nutzerdaten an Facebook weiter und lässt so Facebook für sich werben. Der Website-Betreiber muss also sicherstellen, dass die Datenverarbeitung bei Facebook und Co dem deutschen und europäischen Datenschutzstandards entsprechen. Das kann er nicht.
Wie funktioniert das Tracking von Facebook und Co?
Da Facebook-Scripte auf vielen Websites eingebunden sind, kann Facebook recht gut nachvollziehen, wann welcher Nutzer wo war. Dies erfolgt nicht nur über die IP-Adresse, sondern auch durch Tracking-Cookies, welche bereits erheblich kritisiert wurden und z.T. zu deutlichen Urteilen geführt haben.
Das bedeutet, dass Facebook einerseits digitale Bewegungsprofile von Menschen erstellt, welche sich bewusst gegen Facebook entscheiden, und andererseits auch dann alles einer Person zuordnen kann, wenn die Person sich ausgeloggt hat.
Ist nur Facebook betroffen?
Nein. Grundsätzlich geht es um die Integration von jeglichen Scripten von Diensten, welche nicht den europäischen Datenschutzstandards entsprechen und einen werbenden Charakter haben. Das heißt: Sobald Ressourcen von Dritten wie Google, Facebook, Twitter und viele andere Dienste in eine Seite hineingeladen haben, gibt der Webseiten-Betreiber Daten an eben diese Dienste weiter und setzt sich so einem Rechtsrisiko aus.
Woran erkenne ich, dass meine Seite betroffen ist?
Dies lässt sich recht leicht mit dem Firefox-Plugin Firebug erkennen. Alternativ kann man auch Pingdom nutzen.
Bei Pingdom muss man die Seite eingeben und den Test-Server sinnvollerweise auf Amsterdam stellen. Nach Abschluss der Analyse klickt man auf den Reiter „Page Analysis“ und sucht dann die Box mit der Überschrift „Size per Domain“ oder „Requests per Domain“.
Bei Firebug besucht man die Seite, welche man analysieren möchte. Anschließend öffnet man mit dem kleinen Käfer oben rechts die Firebug Konsole. Anschließend geht man auf den Netzwerk-Tab und lädt die Seite mit dem Refresh-Tab neu. Es ergibt sich ein Bild wie das folgende:
Spannend ist vor allem die Spalte „Domain“. Denn dort sieht man, von welcher Quelle die Datei geladen wurde. Im allerbesten Fall steht dort nur die Domain, die man aufgerufen hat. Dies ist allerdings bei ruhrmobil-E nicht der Fall:
- Domain shariff.sectio-aurea.org: Diese ist in Ordnung, da das ein von mir selbst angebotener zentralisierter Shariff-Dienst ist.
- Domain fonts.googleapis.com: Unschön, da dies das amerikanisches CDN ist (siehe CDNs).
- Domain kompetenz.ruhrmobil-e.de: Dies ist in Ordnung, da dies eine Subdomain der eigenen Seite ist, welche auf denselben Server zeigt.
- Domain piwik.sectio-aurea.org: Diese ist in Ordnung, da das ein von mir selbst angebotener zentralisierter Piwik-Dienst ist.
An dem Waterfall sieht man auch sehr schön, warum Shariff datenschutzfreundlich ist: es gibt keinerlei Anfragen an fremde Server.
Nun schauen wir uns eine in England registrierte Seite an, welche eine Reihe an sozialen Medien integriert hat und etwas ändern muss:
Die meisten Dateien kommen von euroalter.com, aber wieder gibt es Ausnahmen:
- google-analytics.com: Dies ist ggf. problematisch (siehe eigenen Absatz).
- youtube.com: Dies ist ggf. problematisch (ist es werbend?).
- platform.twitter-com: Dies ist sehr problematisch
- facebook.com: Dies ist sehr problematisch.
- static.addtoany.com: Dies ist ggf. problematisch (ist es werbend?).
- img.youtube.com: Dies ist ggf. problematisch (ist es werbend?)
- syndication.twitter.com: Dies ist sehr problematisch.
- cdn.syndication.twimg.com: Dies ist ggf. problematisch (ist es werbend?).
- pixel.facebook.com: Dies ist sehr problematisch (und ein klassischer Tracking-Pixel).
All diese problematischen Domains sind Anfragen an amerikanische Server und unterliegen damit der Datenschutz-Problematik, welche das Düsseldorfer Gericht so deutlich kritisiert hat.
Sehr schön sieht man übrigens auch, wie sehr eine solche Integration von sozialen Medien die Seite ausbremst. Die Seite selbst wäre schon lange geladen, wenn da nicht die ganzen Scripte von Dritten wären. Datenschutz bedeutet somit also auch eine erhebliche Geschwindigkeitsoptimierung.
Was ist mit Google Analytics?
Auch Google Analytics ist ein Dienst unterliegt der Problematik, allerdings ohne den werbenden Faktor, aber mit der Safe Harbor-Problematik. Jedoch gibt es bei Analytics mehrere Schritte, bei denen man das Abmahn-Risko deutlich reduzieren kann (auch wenn diese nicht vollständig sind aufgrund von dem Kippen von Safe Harbor). Wichtig ist vor allem der Antrag auf Datenverarbeitung sowie die Anonymisierung der IP-Adresse. Details hierzu gibt es auf datenschutz-info.de.
Was ist mit Google Fonts und anderen Dateien von CDNs?
Diese unterliegen derselben Grundproblematik wie Facebook und anderen sozialen Medien, denn auch ein CDN ist meist ein Server außerhalb der EU und / oder mit einem nichteuropäischen Betreiber. Allerdings hat ein CDN keine werbende Komponente, so dass nur noch das Safe-Harbor-Problem übrigbleibt. Ob die Betreiber überhaupt ein Tracking ihrer Nutzer machen, ist nicht bekannt. In jedem Fall ist das Tracking nicht so detailliert, da von den CDN ja keine Tracking-Scripte geladen werden, sondern Schriften oder bekannte JavaScript-Libraries.
Muss ich jetzt in Panik ausbrechen?
Klare Antwort: nein. Aber man sollte sich eine Übersicht verschaffen, wo Probleme liegen und welches Ausmaß diese Probleme haben. Wegen einem Google Font die Website offline zu nehmen wäre eine völlig überzogene Reaktion. Aber mal zu schauen, ob es nicht datenschutzfreundlichere Alternativen zu den aktuell eingesetzten Sharing-Plugins gibt und das Facebook Page Widget ganz hinausnehmen – das wäre etwas, was sicher Sinn macht.
Die Deutschen haben alle nur Panik und sind weltfremd!
Achtung, hier wird es gesellschaftspolitisch, der Absatz stellt meine private Meinung dazu dar.
Hierzu würde ich gerne eine Gegenthese aufstellen: Es wird allerhöchste Zeit, dass wir uns darüber Gedanken machen, was für einen Schrott wir alles in unsere Seiten einbauen.
Oder auch anders: ich finde es erschreckend, mit welcher Selbstverständlich wir die Bewegungsprofile unserer eigenen Besucher gedankenlos an Dritte weitergeben. Wenn ein Autohersteller die GPS-Bewegungsdaten moderner Autos sammeln und verkaufen würde, der Aufschrei wäre sicherlich groß. Warum lassen wir das dann also bei Websites einfach so zu?
Ich würde mir wünschen, wenn dieses Urteil zusammen mit dem Kippen von Safe Harbor die längst überfällige Diskussion lostritt, wie wir Datenschutz im 21. Jahrhundert gestalten wollen. Wollen wir als Gesellschaft wirklich zu 100 % transparenz werden? Wollen wir kommerziellen Unternehmen gestatten, uns nahezu lückenlos zu überwachen? Wollen wir dies dem Staat erlauben?
Antworten auf diese Fragen gibt es durch Diskussion, nicht durch wegschauen. Also – lasst uns darüber diskutieren und nicht das Problem einfach ignorieren, in der Hoffnung, dass sich das irgendwie schon löst. Das tut es nämlich nicht. So gesehen ist das Urteil ein schöner Diskussions-Anfacher.
Und ja, natürlich betrifft dies jetzt sehr, sehr viele Seitenbetreiber. Aber ebensoviele Seitenbetreiber haben sich sichtlich nie zuvor Gedanken gemacht, was das eigentlich bedeutet, eine Facebook-Likebox zu haben. Vielleicht wäre dazu jetzt die passende Gelegenheit.
Dein Artikel ist aufschlussreich, dennoch finde ich es erschreckend wie insbesondere die EU unser Leben von A bis Z regulieren möchte.
Ich denke vieles was vor deutschen Gerichten landet hat einen Ursprung durch Verordnungen der EU.
Nun werden wir Webmaster in gewisser Weise gejagt und versucht zu bestrafen.
Mal im Ernst 80% der Seiten sind kommerziell oder es besteht eine Gewinnabsicht, Werbung bestimmt nunmal unser Leben und wenn man anfangen möchte zu bereinigen, dann sollte man es an der Front tun und zwar bei den Werbeunternehmen die sich nicht an bekannte Verhaltenskodex halten!!!
Das 21. Jahrhundert hat uns dahingeführt wo wir jetzt stehen und zwar insbesondere mir Social Media und Co…
IMHO hat das eher etwas damit zu tun, dass „wir Webmaster“ seit geraumer Zeit völlig blind einfach irgendwelche Services bei unseren Websites einbauen, ohne dass wir wissen, was da überhaupt geschieht. Es war neu, es war fancy, also hat man es installiert.
In Deutschland (das hat ziemlich wenig mit der EU zu tun) bist du nur auch dafür verantwortlich für das, was du online stellst. Lies: du musst für all die Dienste, die du einbindest, deine Hand ins Feuer legen können. Kannst du das?
IMHO fehlt den Webmastern nämlich oft genau das: Verantwortungsbewusstsein. Denn genau darum geht es letztlich.
Hallo Ernesto!
Das ist schon irgendwie die Antwort, die ich mit von einem Techie vorgestellt habe 😉
Du hast grundsätzlich Recht, dennoch muss man das tiefgründiger betrachten, es ist zu einfach zu sagen, DU, Unternehmer bist für alles verantwortlich!
A.) Hat nicht jeder Webseitenbetreiber das technische Know-How von PHP und Co. B.) Herrscht in Deutschland ein Überfluss an Menschen aus der Mittelschicht.
Nicht jeder „Kleinunternehmer“ oder Unternehmer hat A.) die technischen Mittel und Ressourcen oder B.) die finanziellen Mittel um sich einen Programmierer oder gar eine IT Abteilung anzueignen.
WordPress wird weltweit stark genutzt und es ist auch der einfachste Weg eine Webseite online zu bringen, da es sich aber um ein offenes System handelt, ist der Support natürlich nicht von den Entwicklern, sondern von der Community vorhanden, Gewährleistung oder ein Anrecht auf Support = Pustekuchen, alles freiwillig durch die Community.
Und wie du selbst bereits mal sagtest, sind die Plugins mit ein häufiger Grund für Angriffe auf den Server. Solange diese Plugins nicht vorher „geprüft“ und für „gut“ befunden werden, wird es also immer wieder zu Problemen und Sicherheitslecks damit kommen.
Ich sehe beim „Unternehmer“ lediglich eine Pflicht sich mit der Materie auseinander zu setzen, sich auf Rezessionen zu verlassen und nur „sichere“ Plugins zu verwenden. Alles weitere sollte wie ich finde in erster Linie auch der Hoster optimieren.
Ein Hoster sollte die installierten System nach Installation so einstellen oder dem Nutzer so verständlich machen, dass es von Beginn an auch für „Newbies“ ein leichtes ist ihr System optimal einzustellen und die Dateirechte richtig zu setzen.
Ich würde mir wünschen, dass alle Parteien „Miteinander“ arbeiten um so in Zukunft die Systeme noch sicherer und weniger anfällig zu machen.
Insbesondere der technische Aspekt ist für viele schwer zu verstehen und nicht JEDER ist Programmierer, Ernesto!
Wenn ich dir z.B. den Koran in Originalfassung hinlegen, dann wirst du mit Sicherheit deine Probleme bekommen, ihn zu verstehen…so könnte es vielen, kleineren Unternehmern und Seiten gehen, wenn sie einen PHP Code beispielsweise von Facebook sehen.
Ergo…es gibt noch einiges zutun…
[…] Eine sehr sehr gute und super verständliche (bebilderte) Anleitung dazu findest du hier: sectio-aurea: Woran erkenne ich, dass meine Seite betroffen ist? Es ist ein kleines bisschen technisches Know-How erforderlich, aber besonders mit Firefox […]
Lieber Ernesto,
danke für Deinen Blog. Ich bin über die WordPress-Gruppe bei facebook auf ihn aufmerksam geworden. Seit nun zwei Wochen bastele ich an meiner WordPress Homepage und lese immer mal wieder, was Du so kluges schreibst…auch wenn es meinen Wissenshorizont leider (bis dato) bei weitem überschreitet. Also frage ich mal ganz blöd hier nach. Was bedeutet das Urteil oder auch die allgemeine Lage (die ja auch ohne das Urteil herrscht) für mich und mein (nicht-kommerzielles) Online-Projekt? Wie kann ich die Leute am besten dazu einladen, sich in sozialen Medien mit mir zu vernetzen?
Besten Dank und schöne Woche
wünscht Julia
Nichtkommerzielle Projekte scheinen ja weniger betroffen zu sein. Wenn du aber eine exakte Aussage haben willst, frage einen darauf spezialisierten Juristen.
Ich würde trotzdem nicht wahllos Daten an Konzerne weitergeben wollen, einfach, weil das schlechter Stil ist, Daten seiner User einfach so weiterzugeben. Und so schwer ist es nun auch nicht, datenschutzfreundliche Buttons einzubauen. Shariff existiert. Man muss es nur nutzen. 🙂
[…] Sectio Aurea Blog: https://binary-butterfly.de/2016/03/das-duesseldorfer-facebook-like-box-urteil-was-bedeutet-das-in-der-… […]